<div dir="ltr"><p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)"><strong>BLUF</strong> Since OpenStack is a distributed system, how compromised does the system become when a single service is compromised?</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)"><strong>Details</strong> I am looking at this from an insider threat, not an external threat. Obviously, Keystone would be a 100% compromise as the thread can create what ever token they want. In Havana, it would appear that Ceilometer would have close to 0% on the actual operations. While billing make be affected and usage information gathered, the system would still operate properly.</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">While I have been reading up on OpenStack, I have not seen anything detailed like this. Different policies could be implemented for each service depending on their capabilities.</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">Additionally, I am looking for "flow of control" between services. I have not found this in the documentation and would like to see what steps the system goes through when answering a request.</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">While I have attempted to search the forum for similar topics, I did not see any. I have a limited knowledge of OpenStack and may not have been using the proper terms.</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">I have been looking through the Security Guide for a baseline and while certain services are more important (messaging and keystone) or vulnerable (nova) there isn't really a quantitative answer.</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">Another issue is defining how a compromise is seen. If one states a cloud should provided Computing, Networking, and Storage (for runtime computing) then the compromise of Swift, Neutron or Nova would mean a 100% compromise as a removing any one of the three would prevent operations. </p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">But one could also look at it as 33.333% for each part and one being compromised/removed only affects 1/3 of the overall system.</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">I would like some professional feedback on these thoughts.</p>

<p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)"><br></p><p style="margin:0px 0px 14px;padding:0px 5px 5px 0px;border:none;font-size:14px;line-height:1.4;font-family:'Helvetica Neue',Arial,Helvetica,sans-serif;color:rgb(75,75,75)">

Thank you,</p><div><div dir="ltr">Robert Houck<div>Student, UTSA<br>(210) 587-9592<br><a href="mailto:houckrj@gmail.com" target="_blank">houckrj@gmail.com</a><br></div></div></div>
</div>